EL PHISHING es una forma de ingeniería social en la cual un atacante intenta de forma fraudulenta adquirir información confidencial de una víctima, haciéndose pasar por un “tercero de confianza”. Este tipo de ataques se han convertido en una de las amenazas externas que más acechan a las empresas.

LOS RIESGOS derivados de estas técnicas son el robo de identidad y datos confidenciales, pérdida de productividad y consumo de recursos de las redes corporativas. Los métodos utilizados para la realización del PHISHING no se limitan exclusivamente al correo electrónico, sino que también utilizan SMS (SMISHING), TELEFONÍA IP (VISHING), REDES SOCIALES, MENSAJERÍA INSTANTÁNEA A TRAVÉS DEL MÓVIL, ETC.

Para evitar estos riesgos es recomendable adoptar unas buenas prácticas principalmente en el USO DEL CORREO ELECTRÓNICO INSTITUCIONAL.

APRENDE a identificar correctamente los correos electrónicos sospechosos de ser phishing, en general mensajes que solicitan información confidencial (contraseñas, datos bancarios, número de teléfono móvil,…).

VERIFICA la fuente de información de tus CORREOS ENTRANTES. Tu banco no te va a solicitar tus datos o claves bancarias a través del correo electrónico.

EN VEZ DE UTILIZAR LOS ENLACES incluidos en los correos electrónicos, escribe la dirección directamente en el navegador.

Mantén ACTUALIZADO TU EQUIPO y todas las aplicaciones, sobre todo el antivirus y anti-spam. Aplica los parches de seguridad facilitados por los fabricantes.

Antes de introducir información confidencial en una página web, ASEGÚRATE QUE ES SEGURA. Han de empezar con < <https://> > y tener un candado cerrado en el navegador.

EL SMISHING se realiza a través un mensaje de texto intentando convencerte de que visites un enlace fraudulento.

EL VISHING se realiza a través de una llamada telefónica que simula proceder de una entidad bancaria solicitándote verificar una serie de datos.

LOS CORREOS ELECTRÓNICOS FRAUDULENTOS suelen contar con varias características que permiten su detección. A continuación, se analiza un ejemplo de correo electrónico fraudulento:

Remitente: Comprobar siempre la dirección de correo del REMITENTE. Los ciberdelincuentes suelen utilizar cuentas de correo falsas o de otros usuarios a los que han hackeado para enviar los correos fraudulentos.

Ingeniería social: pretende generar un sentimiento de ALERTA o URGENCIA e instar al usuario a que realice una determinada acción, de forma inmediata.

APRENDE Comunicación impersonal: el correo se refiere al destinatario como usuario, cliente, etc. Las entidades legítimas en las comunicaciones suelen utilizar el nombre y apellidos del destinatario.

Adjuntos: Cualquier documento ADJUNTO en un correo electrónico debe ser una señal de alerta. Especial atención a extensiones: .exe, .vbs, .docm, .xlsm, .pptm, .zip o .rar. Escanéalos con el antivirus antes de abrir.

Enlaces falsos: Siempre verificar que sea ENLACE SEGURO a un sitio https: y que el dominio sea reconocido y bien escrito, (por ejemplo: uned.ac.cr y uned.cr. son dominios conocidos). Antes de abrir un ENLACE O IMAGEN en un correo hay que comprobar cuál es su destino, para ello sitúa el ratón encima y se mostrará el destino real del vínculo; en caso de utilizar un dispositivo móvil, se debe copiar el enlace y pegarlo en un bloc de notas para comprobar cuál es el verdadero enlace.

Las contraseñas deben ser GESTIONADAS DE FORMA SEGURA EN TODO SU CICLO DE VIDA: desde su creación, pasando por su almacenamiento y terminando por la destrucción.

Deben cumplir una serie de requisitos para que sean ROBUSTAS como TAMAÑO, TIPOS DE CARACTERES a incluir o su PERIODO DE VALIDEZ.

Cambiar las CONTRASEÑAS POR DEFECTO POR OTRAS CONSIDERADAS ROBUSTAS siempre es recomendable.

Los mecanismos de DOBLE FACTOR DE AUTENTICACIÓN “2FA” AUMENTAN LA SEGURIDAD DE LA CUENTA, son especialmente indicados para acceder a información sensible o servicios críticos.

Las contraseñas son un tipo de INFORMACIÓN PERSONAL E INTRANSFERIBLE, nadie a excepción de su propietario debe conocerlas.

Los GESTORES DE CONTRASEÑAS son un tipo de herramienta que AYUDA A SU ADMINISTRACIÓN DE FORMA SEGURA, especialmente útiles cuando el número de contraseñas es elevado.

Es recomendable utilizar UNA CONTRASEÑA PARA CADA SERVICIO, de esta manera en caso de robo solamente se comprometerá un servicio y no todos.

Debemos implantar LAS MEDIDAS DE SEGURIDAD oportunas para la protección de la información tanto en soporte papel como en formato electrónico.

Es recomendable guardar nuestra información en una UBICACIÓN ADECUADA fuera del alcance de posibles riesgos, como fugas de agua.

Es necesario emplear MOBILIARIO que CONTRIBUYA A LA PROTECCIÓN de la información confidencial, como armarios con dispositivos de cierre, cajas fuertes o armarios ignífugos.

Es necesario aplicar un proceso de DESTRUCCIÓN SEGURA a la hora de eliminar la documentación, así como establecer los ACUERDOS DE CONFIDENCIALIDAD pertinentes si se delega su destrucción.

Es necesario implantar una POLÍTICA DE CONTRASEÑAS SEGURAS en nuestra organización.

Es fundamental que LAS CONTRASEÑAS SEAN SECRETAS, no debemos anotarlas ni compartirlas.

Un MÉTODO DE AUTENTICACIÓN es aquella técnica o procedimiento que permite verificar que un usuario es quien dice ser.

Existen métodos de autenticación DIFERENTES, como por ejemplo, el uso de una contraseña, de una tarjeta de acceso o de la huella digital. Pero para mayor seguridad se utiliza más de uno, lo que se conoce como MÉTODOS COMBINADOS.

Es necesario implantar una POLÍTICA DE MESAS LIMPIAS, junto a un procedimiento de auditoría periódica que lo valide.

LA INGENIERÍA SOCIAL tiene como objetivo a los empleados de nuestra organización y permite obtener información confidencial de las víctimas y su organización.

Es fundamental FORMARSE Y CONCIENCIARSE en materia de seguridad de la información.

La mayoría DE LAS FUGAS DE INFORMACIÓN se producen en el puesto de trabajo. Pueden ser ocasionadas por un fallo, un error o actos malintencionados.

Es recomendable ser cuidadoso con el uso del correo y las redes sociales, para evitar posibles fugas de información.